Die Digitalisierung macht uns verwundbar – brauchen wir ein digitales Immunsystem?

Vom weltweiten Angriff auf DSL-Router am letzten November-Wochenende waren auch Hundertausende deutsche Internetnutzer betroffen. Die Angreifer gelangen über eine Sicherheitslücke der Wartungsprotolle TR-069 und TR-064 auf die Router der Telekom-Kunden. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) sprach von einem „globalen Hacker-Angriff“, bei dem die Telekom nur eins von vielen Ziele gewesen sei. Und wenn auch mittlerweile die Telekom-Router immun sind gegen diese Angriff, so zeigt Vorfall, wie wehrlos Unternehmen und Institutionen noch immer gegen Angriffe aus dem Netz sind. Lesen Sie im Blog, welche aufeinander abgestimmten Maßnahmen notwendig sind, für die Erkennung und Abwehr solcher Cyberangriffe.

Die Lage bleibt angespannt – eine solche Äußerung bedeutet nie etwas Gutes und schon gar nicht, wenn offizielle Stellen der Regierung sie verlauten lassen. Politiker und Sicherheitsexperten benutzen eine solche Ausdrucksweise oft im Zusammenhang abstrakter Gefahren, um die Bevölkerung auf wachsende und sich verändernde Bedrohungen hinzuweisen. Anfang November benutzte das Bundesamtes für Sicherheit  und Informationstechnik (BSI) genau diese Formulierung zur Beurteilung der IT-Sicherheitslage in Deutschland für das laufende Jahr. Die Formulierung, die wie ein mahnender Zeigefinger wirkt, diente dabei vor allem dazu, potenzielle Gefahren nicht naiv zu unterschätzen und entsprechende Vorsorgemaßnahmen präventiv zu treffen sowie das Sicherheitsbewusstsein eines jeden Einzelnen zu sensibilisieren und zu schärfen. Denn gerade in der heutigen Zeit, in der das abstrakte Gefährdungslagebild professionell motivierter Cyber-Kriminalität bedenklich ist, weiß man, dass aufgrund der unterschiedlichsten Methodik solcher Cyber-Angriffe, die Angreifer nur schwer aufzuspüren und ihre Taten kaum zu verhindern sind. Der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland zeigt, dass in 2016 insgesamt eine zunehmende Professionalisierung der Angreifer und ihrer Angriffsmethoden festgestellt wurde und die Gefährdungslage angespannt bleibt. So ist die Zahl bekannter Schadprogrammvarianten dieses Jahr weiter gestiegen und lag im August 2016 bei mehr als 560 Millionen. Gleichzeitig verlieren klassische bisherige Abwehrmaßnahmen weiter an Wirksamkeit, weil die Schädlinge oft durch die – meist unbeabsichtigte und unbewußte – Mitwirkung von Insidern in die Netzwerke gelangen und somit klassische Schutzmaßnahmen wie Firewalls umgangen werden. Weiterhin wurde für 2016 eine deutliche Zunahme an Sicherheitslücken und Schwachstellen in Soft- und Hardware gegenüber dem Vorjahr konstatiert. Besonders betroffen waren dabei Betriebssysteme wie Apples macOS oder Microsoft Windows 7 aber auch Softwareprodukte wie  Adobe Reader, Adobe Flash sowie Webbrowser. Eine besorgniserregende Entwicklung, denn gerade Schwachstellen in Hard- und Software bieten ein leichtes Einfallstor in Unternehmensnetze und können von Angreifern leicht ausgenutzt werden.

CyberThreats

Auch die Bedrohung durch sogenannte „Ransomware“ hat sich deutlich verschärft – Krankenhäuser, Unternehmen aber auch Behörden sind von diesen Angriffen betroffen, bei denen informations-technische  Systeme lahmgelegt werden um „Lösegeld“ zu erpressen. Zu den häufigsten Infektionsvektoren für Ransomware gehören Distributed-Denial-of-Service-Angriffe (DDoS) oder Drive-by-Exploits. Sogenannte DDoS-Angriffe sind im Grunde nichts Neues, sie basieren auf einem relativ simplen Prinzip, dass massenhaft sinnlose Anfragen an Server geschickt werden, so daß dieser überlastet und legitime Anfragen nicht annehmen kann. Angreifer benutzen für diese Angriffe in den seltensten Fällen ihre eigene Infrastruktur, sondern vielmehr gehackte Computer und IoT, die zu Botnetzen zusammengefasst werden. Offene Telnet-Ports ohne Authentifizierung, Standard-Nutzernamen, banalste Sicherheitslücken und vor allem keine Security-Updates lassen IoT zur leichten Beute für Cyberkriminelle werden. Die meisten IoT-Geräte sind in Prozessor- und Storage-Kapazität limitiert – derzeitige Security-Modelle, wie  automatische Installation von Updates, das Einspielen von Security-Patches, das Installieren und Aktualisieren von Antiviren-Software und die Konfiguration von Host-basierten Firewalls, lassen sich daher nicht einfach 1:1 umsetzen. Ausnutzbar werden diese Schwachstellen, weil die fortschreitende Digitalisierung zu einer Vielzahl komplexer Kommunikationsverbindungen geführt hat. Die Schutzmechanismen vernetzter Systeme müssen also darauf ausgerichtet sein, dass ein erfolgreicher Angriff auf eine einzelne, verwundbare Komponente nicht sofort Auswirkungen auf das gesamte System hat.

Doch auch wenn Realität und Anspruch in Bezug auf Sicherheit und Datenschutz vielleicht momentan oft noch diametral auseinandergehen, muss die Entwicklung von künstlicher Intelligenz und Verschmelzung von IT und Industrie weiter vorangetrieben werden – zu groß sind die sich hieraus bietenden wirtschaftlichen und gesellschaftlichen Potenziale. Die Digitalisierung ist eine Schlüsselinnovation, die alle Wirtschaftsbereiche verändert. Wir können uns vor ihr weder abschotten noch sie abwählen. Gerade der starke und innovative deutsche Mittelstand mit zahlreichen Weltmarktführern muss die Entwicklung neuer digitaler Geschäftsmodelle und –prozesse vorantreiben, andere Denkansätze verfolgen um Innovationen zu schaffen – selbst wenn die hundertprozentige und absolute Sicherheit nicht gewährleistet werden kann. Wenn wir heute auf die Erfolgsgeschichte des Automobils zurückblicken, so war auch dies – wie heute die Digitalisierung oder Industrie 4.0 – ein disruptive Technologie, die im Frühstadium längst nicht über die für uns heute selbstverständlichen Sicherheitsstandards verfügte. Die ersten Autos hatten kein Dach, geschweige denn einen Sicherheitsgurt oder sonst irgendwelche Vorrichtungen wie ABS, Airbags oder Bremsassistenten, um den Fahrer zu schützen. Doch auch wenn all diese Features heute Standards in Autos sind – absolute Sicherheit kann der Automobilhersteller nicht garantieren. Sicherheit kann deshalb nur relative Sicherheit bedeuten. Die Automobilindustrie hat es verstanden, das  Paradigma  „relativer“ Sicherheit mit einem sehr hohen Sicherheitsgrad  als  nachprüfbare  Produkteigenschaft (TÜV)  zu  etablieren.

Analog hierzu wird der Informationssicherheit im Zuge der Digitalisierung und der damit einhergehenden Verwundbarkeit von Systemen eine Schlüsselrolle  zuteil. Umfassende Sicherheitskonzepte können hierbei wie eine Art Immunsystem durch Prävention, Detektion und Reaktion die Gefahrenpotenziale von Cyberangriffen abmildern.  Hierfür sind neben gestaffelten und aufeinander abgestimmten Maßnahmen , auch die Einschätzung der Gefahrenlage sowie die Entwicklung neuer Strategien für die Erkennung und Abwehr von Cyberangriffen notwendig.

Prävention schützt

So wie ein intaktes Immunsystem beim Menschen bösartige Zellen erkennt und an einer Ausbreitung hindert, verhindern starke Authentifizierungsverfahren unerwünschte Zugriffe bereits an der Eingangstür und bieten wirksamen Schutz gegen Identitätsdiebstahl. Risikobasierte Zugriffskontrollen berücksichtigen eine Vielzahl von Faktoren um für jedes System und jeden Zugriff das angemessene Sicherheitsniveau zu erreichen – so erhält das Herzstück des Unternehmens den größtmöglichen Schutz, während der Zugriff auf weniger kritische Komponenten nicht durch unangemessene Sicherheitsmaßnahmen eingeschränkt wird.

Detektion – Risiken systematisch und in Echtzeit aufspüren

Auch trotz bester Vorsorge, kann es dennoch passieren, dass man sich mit Viren und Schädlingen infiziert. Aufgabe des Immunsystems ist es dann, schnellstmöglich Angriffe und Veränderungen zu entdecken und Gegenmaßnahmen einzuleiten. Ähnlich verhält es sich, sobald Malware in Systeme eingedrungen ist. Entscheidend wird sein, wie schnell ein Unternehmen den Angriff entdeckt und ob man in der Lage ist, adäquat drauf zu reagieren. Durch Einsatz von Security Information & Event Management-Technologien (SIEM) wird eine Grundkonfiguration für die normalen Aktivitätsmuster in der IT-Umgebung definiert. Auf diese Weise können Auffälligkeiten anhand einer Echtzeit-Sicherheitsanalyse identifiziert werden, ohne genau zu wissen, wonach eigentlich gesucht wird. Change Monitoring Systeme stellen eine sinnvolle Ergänzung zu SIEM-Lösungen dar – sie bieten eine permanente Überwachung geschäftskritischer Dateien und Systeme und liefern bei unbefugten Änderungen aussagekräftige Alarmmeldungen. Dies ermöglicht kurze Reaktionszeiten und reduziert somit das Risiko eines folgenschweren Datenmissbrauchs erheblich.

Reaktion bedeutet Sicherheitssysteme schnell & dynamisch anzupassen

Sicherheit erfordert aber nicht nur eine schnelle Reaktion im Angriffsfall, sondern auch eine schnelle Anpassung der Sicherheitsarchitektur an Veränderungen. Agile Software-Entwicklung, automatisiertes Release Management, standardisierte Cloud-Services – viele Trends wirken als Katalysator für immer kürzere Innovationszyklen. Das „Immunsystem“ der IT muß sich ebenso schnell anpassen – integriert, automatisiert, intelligent und dynamisch sind daher zentrale Attribute einer modernen Sicherheitsarchitektur.

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

A classic never goes out of style

Die digitale Transformation von Geschäftsprozessen sowie die Modernisierung und Optimierung der IT- Infrastruktur lassen die Rufe nach der Ablösung des Mainframe lauter werden. Zudem haftet dem “Dino” der IT ein zunehmend negatives Image an: zu teuer, zu unmodern, zu unflexibel. Doch Fakt ist auch, dass Cobol Anwendungen immer noch großen Einfluss auf unser tägliches Leben haben. Die Flugbuchung, die Sitzplatzreservierung im ICE, das Bezahlen bei Zalando, Amazon & Co. -am Ende ist es fast immer COBOL-Code, der involviert ist. Es stellt sich also die zentrale Frage: Wie kann man bestehende Geschäftsmodelle samt vorhandenen Geschäftsregeln und Applikationen in neue Systeme einbringen, die flexibel, dynamisch und web-orientiert sind? Martin Reusch liefert Antworten…

Vor fast 125 Jahren wurde das Unternehmen Coca Cola in Atlanta gegründet. Trotz des auch für ein Unternehmen stattlichen Alters, ist die Coca Cola alles andere als angestaubt und unmodern. Für Coca Cola, dem Getränk in der unverwechselbaren, bauchigen Kontur-Glasflasche oder der rot-weißen Dose  gelten anscheinend nicht die Regeln des Alterns. Sprachforschern zufolge ist Coca-Cola heute das zweitbekannteste Wort der Welt nach „Okay“, es ist die wertvollste Marke der Welt, denn  Coca Cola ist das auch heute noch das Erfrischungs-Getränk Nummer 1 und das trotz  immer neuer Brausegetränke. Anderes Beispiel – Mythos Porsche 911, seit über 50 Jahren das Herzstück der Marke Porsche. Der erste 911 wurde 1963 auf der IAA in Frankfurt vorgestellt und ist seitdem einfach geblieben, auch wenn das heutige Modell längst nicht mehr mit dem ursprünglichen Original zu vergleichen ist. Denn Porsche hat es stets verstanden, dieses einzigartige Modell durch intelligente Ideen und Technologien, welche Performance, Alltagstauglichkeit, Sicherheit und Nachhaltigkeit verknüpften, immer weiter zu modifizieren.

Auch in der IT gibt es vergleichbare Klassiker. Großrechner, besser als Mainframe bekannt, oder COBOL die Programmiersprache für viele Businessanwendungen, existieren ebenfalls seit Anfang der 60er Jahre. Doch die während ein Klassiker wie der Porsche 911 heute ein Mythos ist und mit positiven Charakteristika wie Wertbeständigkeit, Stilistik und Dynamik verbunden wird, haftet dem Mainframe und seiner beherrschenden Programmiersprache COBOL in der Öffentlichkeit ein zunehmend negatives Image an: die Systeme und Applikationen gelten als veraltet, unmodern, unsicher und deswegen als zu risikoreich, sie aufrechtzuerhalten. Diese eher abwertende Sichtweise wird zudem begünstigt durch neue Technologieansätze wie Big Data, Cloud Computing, Mobile- und Sozial Business Technologien. Trotz des vermeintlichen negativen Stigma verwenden aber nach einer aktuellen Schätzung von IBM immer noch rund 55 Prozent aller weltweiten Enterprise-Anwendungen bei Banken und Versicherungen in der einen oder anderen Weise einen COBOL-Code. Geld am Automaten abheben oder überweisen, bei Amazon, Zalando oder eBay einkaufen – am Ende ist es fast immer COBOL-Code, der die Kontostände ausgleicht. Die Flugbuchung, die Sitzplatzreservierung im ICE etc. – ohne dass wir es merken, haben der Mainframe und seine COBOL-Anwendungen immer noch großen Einfluss auf unser tägliches Leben.

Wachsende Probleme durch Digitale Transformation

Nicht zu leugnen ist aber auch, dass die IT-Industrie gegenwärtig einen rasanten Wandel durchläuft, bei dem gerade die digitale Transformation von Geschäftsprozessen sowie die Modernisierung und Optimierung der IT- Infrastruktur bezogen auf neue Technologietrends wie Mobility, Social Business und BYOD eine zentrale Rolle spielen. Auch wenn die Mainframe-Umgebung als operationskritische Plattform hierbei nach wie eine Rolle spielen kann, stellt die Einführung agiler Entwicklungsmodelle und steigende Anforderungen an die Flexibilität der Hardware bestehende Konzepte vor Probleme, denn an der der stetigen Wartung, Aktualisierung und Weiterentwicklung von systemrelevanten Mainframe-Applikationen führt auch sowohl aus technischer als auch fachlicher Sicht kein Weg vorbei.

klasse2

Viele der Themen sowie der damit verbundenen Herausforderungen sind nicht neu, schließlich beschäftigen sich die IT-Branche  seit der Entwicklung des Internets vor 20 Jahren bereits mit dem Prozess der Digitalisierung und den Folgen, die sie hervorruft. Neu ist hingegen ist die Geschwindigkeit, mit der die teils disruptiven neuen Technologien wie Mobility und Connectivity, Cloud Computing, Sozial Media und Big Data Analytics, neue Geschäftsmodelle, Prozesse und Wertschöpfungsketten entstehen lassen. Bedenkt man dann noch, dass ehemalige Start-ups wie Amazon, Google, Spotify, ebay oder booking.com, die ohne die Zwänge historisch gewachsener Unternehmenskulturen und Strukturen agil neue Geschäftsmodelle in einem etablierten Markt platzieren und als branchenfremde Unternehmen in die Märkte der etablierten Platzhirsche eindringen, wird schnell klar, dass die Letztgenannten und ihre IT-Abteilungen unter starkem Zwang stehen, ihr unternehmerisches Handeln zu überdenken, und ihre bestehenden Geschäftsmodelle den sich verändernden Erwartungen, Bedürfnissen und Verhaltensschema der Kunden anzupassen und weiterzuentwickeln.

Zwangsläufig stellt sich dabei dann immer wieder die zentrale Frage: Wie kann man bestehende Geschäftsmodelle samt vorhandenen Geschäftsregeln und Applikationen in neue Systeme einbringen, die flexibel, dynamisch und web-orientiert sind?

Die Unternehmensführung erwartet von der IT, dass die Business Applikationen nicht mehr isoliert voneinander ablaufen, sondern das Produktion, betriebliche Abläufe und Kunden in einer einzelnen, integrierten Lösung in die Wertschöpfungskette eingebunden werden. Die Fertigung möchte spezifisch auf den Kundenwunsch abgestimmt produzieren, das Marketing will personalisierte Produktempfehlungen abgeben und viele Unternehmen bereiten sich zudem auf die Herausforderungen durch die Industrie 4.0 vor, die beispielsweise vorausschauende Wartung ermöglicht. Dazu müssen allerdings die unterschiedlichen Backend-Systeme wie die Kundendatenbank und das Enterprise Resource Planning, die Analyse-Tools im Marketing und das SAP miteinander verknüpft sein.

In vielen Unternehmen hingegen ist die IT ist im Laufe der Jahre zu einer technologisch heterogenen Applikationslandschaft herangewachsen, die zwar immer wieder aktualisiert, ergänzt und erweitert – mit den unterschiedlichsten Technologien – von COBOL, Microsoft VB, Java oder C# bis hin zu Standardpaketen wie SAP. Doch eben diese verschiedenen Technologien verhindern oftmals den Aufbau eines integrierten Systems. Es existiert ein Mosaik an Applikationen mit einer Vielzahl von Anwendungen, Datenbanken und komplexen Schnittstellen, die Prozessstörungen verursachen können.

klasse3

Revolution vs. Evolution – welcher Ansatz ist der Richtige?

Wie modernisiert man nun also seine Applikationslandschaft – verfolgt man den revolutionären Ansatz mit einer kompletten Neuentwicklung oder der Einführung von Standardapplikationen, oder ist eine evolutionäre Anwendungsmodernisierung der eigenen Individualsoftware der bessere Weg?

Die radikale Lösung mit einer kompletten Neuentwicklung einer über Jahrzehnte gewachsenen Kernapplikation, die einen Millionenwert an fachlicher Businesslogik darstellt? Dazu fehlen selbst Banken die Zeit und die Ressourcen, außerdem sind mit einem solchen Vorgehen viele Risiken und immense Kosten verbunden. Der Umstieg z.B. auf ein neues Core-Banking System im Bankenbereich kann ohne weiteres Kosten im zweistelligen Millionenbereich Bereich nach sich ziehen, angesichts immer knapper werdender IT-Budgets und wachsendem Zeitdruck keine wirkliche Alternative.

Eine wesentlich kostengünstigerer und auch sicherer Weg ist die Anwendungsmodernisierung unternehmenskritischer Applikationen, bei dem dank einer evolutionären Vorgehensweise nicht nur der Wert der Anwendung erhalten wird, sondern diese kontinuierlich mit der geforderten Flexibilität und Agilität weiter entwickelt und optimiert wird.

Aufgrund unterschiedlicher Modernisierungsansätze, sollten zunächst die Ziele, die man erreichen will, genau formuliert werden:

  • Kosteneinsparungen

Durch einen Umstieg auf kostengünstigere Plattformen und den Einsatz von Open-Source-Technologien lassen sich Betriebskosten signifikant reduzieren – in der Spitze um über 70 Prozent.

  • Produktivität & Time-to-Market

Mithilfe moderner Entwicklungsumgebungen und entsprechender Tools (bspw. Versions- Test- und Releasemanagement) kann die Produktivität gesteigert und gleichzeitig das Risiko minimiert werden. Das fördert eine schnellere Umsetzung neuer Ideen und stellt die Akzeptanz der Nutzer sicher.

  • Wiederverwendbarkeit & Zukunftsfähigkeit vorhandener COBOL Anwendungen

Operative Betriebsrisiken minimieren sich z.B. in Bezug auf Know-how, Technologie, Sicherheitslücken und Kosten. Aktuelle technologische Standards schaffen darüber hinaus die Basis für eine schnelle Reaktion auf neue Anforderungen (z.B. Regulatorik).

Entscheidet man sich für die Modernisierung der Infrastruktur, ist im Falle von auf dem Host betriebenen Anwendungen oft ein Rehosting der Applikationen sinnvoll. Beim Rehosting verlagert man die Anwendung(en) auf eine andere kostengünstere Plattform in der dezentralen Welt (UNIX, Linux oder Windows), ohne Änderung der Funktionalität. Der Kern der Enterprise-Applikationen bleibt grundsätzlich erhalten, also die Business-Logik, wie sie beispielsweise in COBOL- oder PL/1-Code implementiert ist.

Möchte man einen ganzheitlichen Ansatz realisieren, um eine bessere Zusammenarbeit der einzelnen Bereiche (Entwicklung, Qualitätssicherung, Operating) zu erreichen und so die Qualität, die Effizienz und den Software-Entwicklungszyklus für den Mainframe verbessern, so ist die Realisierung einer DevOps Strategie für MainframeUmgebungen der richtige Ansatz. Eine solche Strategie hilft, die Fehlerquote bei neuen Produktversionen zu verringern, die Bereitstellung neuer Anwendungen zu beschleunigen und den Zeitraum für das Beheben kurzzeitiger Störungen zu minimieren.

Ist die Wiederverwendung der bestehenden Geschäftsregeln und Anwendungen in neuen Systemumgebungen der dezentralen Welt, die flexibel, dynamisch und web-orientiert sind, das Ziel, muss die COBOL-Softwareentwicklung vom Komfort aktueller integrierter Entwicklungsoberflächen (IDEs) wie Visual Studio oder Eclipse profitieren. Der größte Vorteil liegt aber wahrscheinlich in der Möglichkeit, innerhalb einer einzigen IDE COBOL-Legacy-Code mit neueren, etwa in Java geschriebenen Projekten zusammenzubringen. So werden hybride Lösungen möglich, bei denen beispielsweise das COBOL-Backend mit einem Java-, RCP- oder Web-Frontend kombiniert werden.

In den kommenden Wochen werden wir hierzu verschiedene Szenarien der Anwendungsmodernisierung und ihre Vorteile näher erläutern.